Migration dun domaine

Active Directory 2003 R2

vers 2008 R2 (v2.13)
Tutorial conu et rdig par Michel de CREVOISIER

SOURCES
Gestion des rles doprations :
http://technet.microsoft.com/en-us/library/cc816945%28v=ws.10%29.aspx
Localisation et migration des rles doprations :
http://www.alexwinner.com/articles/win2008/28-fsmofindmove.html
Liste des commandes Active Directory en PowerShell :
http://technet.microsoft.com/en-us/library/ee617195.aspx

INDEX
SOURCES ................................................................................................................................................. 1
INDEX ...................................................................................................................................................... 2
Prambule ............................................................................................................................................... 3
1.

2.

3.

Prparation du contrleur migrer ................................................................................................... 4

1.1

Augmentation du niveau fonctionnel .......................................................................................... 4

1.2

Mise jour du schma ............................................................................................................... 4

1.3

Mise jour du domaine.............................................................................................................. 6

1.4

Mise jour des stratgies ........................................................................................................... 6

1.5

Intgration de RODC .................................................................................................................. 7

Configuration du nouveau contrleur................................................................................................ 8

2.1

Ajout dun contrleur de domaine .............................................................................................. 8

2.2

Vrifications ............................................................................................................................ 11

Transfert des rles FSMO ................................................................................................................ 13

3.1

Via linterface graphique .......................................................................................................... 13

3.2

En ligne de commande ............................................................................................................. 15

4.

Suppression de lancien contrleur.................................................................................................. 16

5.

Augmentation du niveau fonctionnel .............................................................................................. 17

6.

7.

5.1

Via linterface graphique .......................................................................................................... 17

5.2

En ligne de commande ............................................................................................................. 17

Erreurs ........................................................................................................................................... 18
6.1

Impossible de prparer le domaine ........................................................................................... 18

6.2

Impossible daugmenter le niveau fonctionnel en 2008 .............................................................. 18

6.3

Impossible de configurer le service NETLOGON ......................................................................... 18

6.4

Erreur lors du transfert dun rle .............................................................................................. 19

6.5

Schma non prpar ................................................................................................................ 19

Outils ............................................................................................................................................. 20
7.1

Transfert forc (seize) .............................................................................................................. 20

Conclusion ............................................................................................................................................. 21

Prambule
Face au vieillissement de notre bon vieux Server 2003 , la question du remplacement de ce dernier
est souvent voque. Cela dit, quand on se rappelle quil hberge lensemble des rles Active
Directory, on se dit finalement que le jeu nen vaut peut-tre pas la chandelle et quil pourrait tenir
encore quelques annes de plus
Ce tuto a donc pour objectif de vous fournir la procdure afin de transfrer les rles dun contrleur
de domaine sous 2003 R2 vers un contrleur sous 2008 R2. Avant de procder la migration, prenez
quand mme le temps de sauvegarder votre serveur, on ne sait jamais
Sachez par ailleurs quil est ncessaire de matriser un minimum les fonctionnalits de base dun
domaine Windows Server 2008 ( savoir Active Directory et DNS) pour comprendre ce tutorial. De
plus vous devez disposer dune version de Windows Server 2008 R2 SP1 Standard/Entreprise
tlchargeable depuis le site de Microsoft. Attention, mes serveurs et logiciels seront installs en
anglais. Je vous recommande donc dopter pour cette langue lors de votre tlchargement ou bien
de tlcharger le pack multilingue en anglais ici pour ne pas perdre le fil
Pour ce tuto, jutiliserai 2 serveurs :
AD01: serveur Active Directory et DNS sous Windows Server 2003 R2 SP2 x86 (installation non
dtaille)
AD02: serveur sous Windows Server 2008 R2 SP1 x64 (installation dtaille) ; non membre du
domaine

1. Prparation du contrleur migrer

1.1Augmentation du niveau fonctionnel
Avant de procder la migration, vous devez augmenter le niveau fonctionnel de votre domaine.
Pour cela :
Ouvrez la console Active Directory
Clic droit sur le nom de votre domaine > Raise domain functional level
Choisissez le mode 2003

1.2Mise jour du schma

La mise jour du schma consiste ajouter les nouvelles classes et attributs (ncessaires au
fonctionnement dActive Directory sous Windows Server 2008 R2) dans la partition schma. Cette
action est mener sur le serveur possdant le rle FSMO Maitre de schma .

1.2.1 Versions du schma

A titre dinformation, voici comment connatre la version actuelle du schma :
Ouvrez la console du registre
Allez dans :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters
Recherchez la clef Schema version et comparez sa valeur avec tableau qui suit :

3 : Windows Server 2000

30 : Windows Server 2003
31 : Windows Server 2003 R2
44 : Windows Server 2008
47 : Windows Server 2008 R2
4

1.2.2 Dsactivation de la rplication

Avant de mettre jour le schma, il est ncessaire de dsactiver la rplication sortante du contrleur
de domaine :
repadmin /options <nom DC> +DISABLE_INBOUND_REPL

1.2.3 Mise jour du schma

Copiez le dossier adprep situ sur le DVD de Windows Server 2008 R2 (dans D:\support) sur votre
serveur migrer. Excutez ensuite la commande suivante :
adprep32 /forestprep
Si elle nest pas excute, vous obtiendrez lerreur du point 6.5, vous empchant alors de poursuivre
la migration du domaine.

Une fois lopration termine, vrifiez que la mise jour a bien fonctionn en reproduisant la
procdure du point 1.2.1.

1.2.4 Ractivation de la rplication

Noubliez pas de relancer la rplication :
repadmin /options <nom DC> -DISABLE_INBOUND_REPL

1.3Mise jour du domaine

La mise jour du domaine consiste prparer ce dernier recevoir des contrleurs de domaines
sous Windows Server 2008 R2. Pour cela, excutez la commande suivante :
adprep32 /domainprep

Attention, si vous navez pas augmentez le niveau fonctionnel comme indiqu au point 1.1, vous
vous heurterez au message du point 6.1.

1.4Mise jour des stratgies

Cette action a pour but dajouter les entres de contrle d'accs (ACE) pouvant tre hrites sur
les objets Stratgie de groupe de la ressource partage Sysvol. Des entres de contrle d'accs (ACE)
supplmentaires donnent aux contrleurs de domaine de l'entreprise des autorisations d'accs en
lecture sur les objets Stratgie de groupe. Ces autorisations sont requises pour prendre en charge la
fonctionnalit Jeu de stratgie rsultant pour la stratgie de site . Pour hriter de ces lments
excutez la commande suivante :
adprep.exe /domainprep /gpprep

Note : si vous excutez la commande /domainprep /gpprep avant /domainprep , les deux
tapes seront ralises : dabord le /domainprep puis le /gpprep

1.5Intgration de RODC
Afin de prparer votre domaine recevoir dventuels contrleurs de domaine en lecture seule
(RODC), excutez la commande suivante :
adprep /rodcprep

2. Configuration du nouveau contrleur

2.1Ajout dun contrleur de domaine
Maintenant que votre domaine est prt accueillir un contrleur sous Windows Server 2008 R2, nous
allons pouvoir en rajouter un. Pour cela :
Excutez la commande dcpromo
Choisissez ensuite loption ci-dessous :

Indiquez ensuite le nom et les identifiants dadministrateur associs au domaine migrer :

Si tout est correct, lcran suivant apparait :

8

Le message ci-dessous peut apparatre si vous navez pas prpar le domaine recevoir des
contrleurs en lecture seule (point 1.5). Cliquez sur YES

Slectionnez ensuite les rles installer (DNS et Catalogue global) :

Le message ci-dessous peut apparatre si votre serveur na pas daccs internet. En effet, le
serveur DNS ne peut pas vrifier la dlgation de nom concernant le .com . Cliquez sur YES

Indiquez que vous souhaitez rpliquer les donnes de lannuaire Active Directory via le
rseau :

10

Si vous possdez plusieurs contrleurs de domaine, indiquez celui de votre choix. Sinon laissez
loption par dfaut :

Laissez lassistant terminer et redmarrez le serveur

2.2Vrifications
Avant de poursuivre, vrifiez les points suivants :
Prsence des consoles Active Directory et DNS
Prsence des deux contrleurs de domaine dans lUO Domain Controllers
11

Prsence des rpertoires :

o C:\Windows\SYSVOL\sysvol\[domaine]\scripts
o C:\Windows\SYSVOL\sysvol\[domaine]\policies
Prsence des partages NETLGON et SYSVOL via la commande net share

Attention ! Pour les deux points prcdents, les lments peuvent tarder apparatre !

Excutez la commande dcdiag et vrifiez quil ny pas derreurs, notamment au niveau du RPC.
Par ailleurs, il peut savrer ncessaire de redmarrer lancien serveur.

12

3. Transfert des rles FSMO

Nous allons maintenant procder au transfert des diffrents rles vers le nouveau serveur. Si vous
souhaitez avoir plus dinformations concernant ces rles, rendez-vous au point XXX de mon tuto
intitul Tout sur Active Directory 2008 R2 .
Attention ! Toutes les actions qui suivent devront tre ralises depuis le nouveau serveur.

3.1Via linterface graphique

3.1.1 Transfert du Maitre de schma
Pour ce rle, il est ncessaire de passer par la console Schma Active Directory, hors celle-ci nest
pas disponible par dfaut. Pour lactiver :
Ouvrez une console CMD en tant quadministrateur et tapez : regsvr32 schmmgmt.dll
Ouvrez une MMC et ajoutez le composant Active Directory Schema
Maintenant que la console est accessible, vous pouvez transfrer ce rle :
Clic droit sur Active Directory Schema > Operations Master
Change
Problme : le message ci-dessous apparat. Lopration ne peut donc pas continuer en
mode graphique

3.1.2 Transfert du Matre dattribution de noms de domaine

Ouvrez la console Active Directory Domains and Trusts

Clic droit sur Active Directory Domains and Trusts > Operations Master
Change

3.1.3 Transfert des rles niveau domaine (RID, PDC, Infrastructure)

Ouvrez la console Active Directory

Clic droit sur [nom domaine] > Operations Masters
La fentre suivante apparat :

13

Cliquez sur Change pour procder au transfert. Rptez ensuite cette action pour les autres
rles, sachant qu chaque transfert un message de confirmation apparat :

14

3.2En ligne de commande

Ouvrez une console CMD et tapez les commandes suivantes :
Ntdsutil
Roles
Connection
connect to server localhost
quit
transfer schema master
transfer naming master
transfer infrastructure master
transfer pdc
transfer rid master
quit
quit

Vrifiez ensuite que tous les rles ont t transfrs :

netdom query fsmo

Attention ! Si une erreur apparat lors du processus de transfert dun rle, dirigez-vous au point 6.4
pour plus dinformations.

15

4. Suppression de lancien contrleur

Maintenant que le nouveau serveur est prt, il est temps de supprimer lancien. Pour cela :
Arrtez le service NETLOGON (Ouverture de session en franais). Autrement le message du
point 6.3 apparatra
Excutez la commande dcpromo
Lassistant se lance. Surtout ne cochez pas la case ci-dessous car cela entrainerait la
disparition du domaine :

Confirmez la suppression du serveur et redmarrez ce dernier

16

5. Augmentation du niveau fonctionnel

Maintenant que votre contrleur de domaine possde tous les rles, nous allons augmenter son
niveau fonctionnel afin de disposer des dernires fonctionnalits offertes par Server 2008 R2.

5.1Via linterface graphique

Pour augmenter le niveau fonctionnel via linterface graphique, suivez comme suit :
Ouvrez la console Active Directory
Clic droit sur le nom de votre domaine > Raise domain functional level
Choisissez le mode 2008 R2

Attention ! Si vous navez pas supprim lancien contrleur de domaine (sous 2003), le message du
point 6.2 apparatra.

5.2En ligne de commande

Pour augmenter le niveau fonctionnel en ligne de commande, ouvrez une console PowerShell et
tapez les commandes suivantes :
Import-Module ActiveDirectory
Augmentation du niveau du domaine :
Set-ADDomainMode -Identity domaine.com -DomainMode Windows2008R2Domain

Augmentation du niveau de la fort :

Set-ADForestMode -Identity domaine.com -ForestMode Windows2008R2Forest

17

6. Erreurs
6.1Impossible de prparer le domaine
Ce message apparait si vous navez pas augment le niveau fonctionnel du domaine comme indiqu
au point 1.1.

6.2Impossible daugmenter le niveau fonctionnel en 2008

Si vous essayer daugmenter le niveau fonctionnel depuis le nouveau contrleur de domaine sans
avoir supprim lancien, vous obtiendrez le message ci-dessous. Pour augmenter le niveau en 2008
R2, supprimez lancien contrleur en suivant les indications du point 4.

6.3Impossible de configurer le service NETLOGON

Durant la suppression de lancien contrleur de domaine (point
suivant :

4), je me suis heurt au message

18

Voici le dtail de lerreur dans le journal dvnements :

Cette erreur est lie un limpossibilit de modifier un enregistrement DNS sur ce mme serveur, en
raison de lexcution du service NETLOGON (Ouverture de session en franais). Pour parer ce
problme, il convient darrter ce service avant dexcuter la commande DCPROMO. Vous trouverez
le dtail de lerreur sur EventID ici et sur le Technet ici.

6.4Erreur lors du transfert dun rle

Comme indiqu la fin du point 3.2, il se peut que vous soyez dans limpossibilit de transfrer un
rle FSMO. Les causes du problme peuvent tre nombreuses mais il existe une parade consistant
forcer le transfert de rle. Ci-dessous, lerreur rencontre en voulant migrer le Maitre de Schma :

Pour cette erreur (et uniquement cette erreur), Microsoft fournit une procdure dtaille. Si vous
rencontrez le mme problme mais pour dautres rles, rendez-vous au point 7.1 pour procder
un transfert forc via la commande seize.

6.5Schma non prpar

Si vous navez pas prpar votre schma comme indiqu au point 1.2.3 , vous obtiendrez le message
suivant :

19

7. Outils
7.1Transfert forc (seize)
Si pour une raison inconnue le transfert de rle ne fonctionne pas, vous devrez alors forcer ce dernier
via la commande seize. Attention, aprs avoir raffect les rles, il ne faudra surtout pas reconnecter
lancien contrleur de domaine.
roles
connection
connect to server [MONSERVEUR]
quit
seize PDC
seize RID master
seize infrastructure master
seize naming master
seize schema master
Dans tous les cas et avant tout seize , je vous recommande la lecture de larticle suivant (en
anglais).

20

Conclusion
Dornavant, vous tes en mesure de transfrer un contrleur de domaine 2003 vers 2008. Mais
attention, ce tuto est valable pour des versions standards de Windows Server. Pour les versions Small
Business, la situation est plus dlicate et la procdure es t bien plus longue.

Nhsitez pas menvoyer vos commentaires ou retours ladresse suivante :

m . decrevoisier -R--B--5 outlook . com

Soyez-en dores et dj remerci

21